I problemi di sicurezza delle serrature Smart Lock aprono le porte agli attaccanti

Milano, 17 dicembre 2019 – Gli esperti di F-Secure Consulting, la nuova unità di consulenza sulla cyber security di F-Secure, hanno scoperto un difetto di progettazione in una serratura intelligente (smart lock) che gli attaccanti possono utilizzare per impadronirsi facilmente del dispositivo. L'incapacità dello smart lock di ricevere aggiornamenti del firmware fa sì che il difetto non possa essere completamente risolto, e mette in evidenza le difficoltà che produttori e consumatori affrontano nel proteggere i nuovi dispositivi connessi a Internet che stanno invadendo il mercato.

KeyWe Smart Lock, un dispositivo di accesso a controllo remoto utilizzato principalmente in abitazioni private, consente agli utenti di aprire e chiudere le porte con un'app sul proprio smartphone. F-Secure Consulting ha scoperto di poter sfruttare i protocolli di comunicazione progettati in modo errato arrivando a intercettare la passphrase segreta che controlla il dispositivo di accesso mentre viene scambiata tra il dispositivo fisico e l'app mobile.

Lo smart lock ha diversi meccanismi di protezione. Sfortunatamente, il suo design rende piuttosto semplice per gli attaccanti bypassare questi meccanismi per intercettare i messaggi scambiati tra lo smart lock e l'app, lasciandolo aperto a un attacco relativamente semplice. Non c'è modo di mitigare questo difetto, quindi accedere alle case protette dallo smart lock è una scommessa già vinta per i ladri in grado di replicare questo attacco", afferma Krzysztof Marciniak di F-Secure Consulting, un consulente di sicurezza informatica che ha contribuito a sviluppare questo attacco. "Tutto ciò che serve agli attaccanti è un po’ di know-how, un dispositivo per catturare il traffico - che può essere acquistato in molti negozi di elettronica di consumo a partire da 10 dollari - e un po' di tempo per trovare i proprietari di queste serrature intelligenti".

L'attacco è un'altra dimostrazione delle sfide alla sicurezza che i produttori e i consumatori devono affrontare quando i dispositivi Internet of Things (IoT) invadono il mercato. Una stima recente prevede che ci saranno 125 miliardi di dispositivi connessi a Internet entro il 2025*. Ma man mano che questi dispositivi IoT si diffondono, lo stesso faranno anche i problemi di sicurezza che si portano dietro.

Lo smart lock ha diverse funzioni di sicurezza utili, tra cui la crittografia dei dati che serve a impedire a parti non autorizzate di accedere a informazioni critiche sul sistema, come appunto la passphrase segreta. Tuttavia, F-Secure Consulting ha trovato modi relativamente semplici per aggirare le misure di sicurezza del sistema. E poiché il dispositivo non può ricevere gli aggiornamenti del firmware, il difetto sfruttato dall'attacco non può essere riparato, il che significa che i proprietari dello smart lock dovranno sostituire questa serratura intelligente o convivere con questo rischio.

Marciniak sottolinea che la sicurezza è efficace solo se implementata correttamente, il che è una considerazione che i venditori di dispositivi IoT dovrebbero tenere presente.

"La sicurezza non ha una ‘taglia unica’. Deve essere personalizzata per tenere conto dell'utente, dell'ambiente, del modello di minaccia e molto altro ancora. Fare questo non è facile, ma se i venditori di dispositivi IoT immetteranno sul mercato prodotti che non possono ricevere aggiornamenti, allora è importante costruirli e progettarli affinché siano sicuri fin dall’inizio", spiega Marciniak.

Marciniak raccomanda alle persone di considerare le implicazioni di sicurezza della connettività Internet prima di sostituire i propri dispositivi offline con le versioni online e raccomanda ai venditori di dispositivi di eseguire valutazioni di sicurezza già in fase di progettazione dei loro prodotti.

F-Secure Consulting opera in quattro continenti in 11 Paesi diversi. Fornisce servizi di sicurezza informatica su misura per soddisfare le esigenze di banche, servizi finanziari, aviazione, logistica, vendita al dettaglio, assicurazioni e altre organizzazioni che lavorano in settori altamente mirati.

Data la facilità dell'attacco e la mancanza di soluzioni di mitigazione da poter proporre agli utenti finali, F-Secure Consulting ha scelto di trattenere parti cruciali dei dettagli tecnici necessari per eseguire l'attacco. Tuttavia, su F-Secure Labs sono stati pubblicati un “advisory” e un blog post con maggiori informazioni.

Supporto e servizi aggiuntivi per i produttori di dispositivi sono disponibili presso F-Secure Consulting.

 

*Fonte: https://www.techradar.com/news/rise-of-the-internet-of-things-iot

 

Chi siamo

Nessuno conosce la cyber security come F-Secure. Per tre decenni, F-Secure ha guidato l’innovazione nella cyber security, difendendo decine di migliaia di aziende e milioni di persone. Con un’esperienza insuperabile nella protezione degli endpoint, così come nella rilevazione e risposta, F-Secure difende aziende e utenti da attacchi informatici avanzati, violazioni di dati e dalle diffuse infezioni ransomware. La sofisticata tecnologia di F-Secure combina la forza del machine learning con l’esperienza umana degli esperti presenti nei suoi rinomati laboratori di sicurezza con un approccio singolare chiamato Live Security. Gli esperti di sicurezza di F-Secure hanno preso parte a più investigazioni sul crimine informatico in Europa di qualsiasi altra azienda sul mercato, e i suoi prodotti sono venduti in tutto il mondo attraverso oltre 200 operatori di banda larga e telefonia mobile e migliaia di rivenditori.

Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.

f-secure.it | twitter.com/fsecure | linkedin.com/f-secure

Contatti per la stampa

Samanta Fumagalli
Resp. Ufficio Stampa
samanta.fumagalli@gmail.com
info@samantafumagalli.com
Mobile 320.9011759

Lista comunicati

Iscriviti per ricevere i comunicati stampa F-Secure

Processiamo I dati personali che condividi con noi secondo la nostra Corporate Business Privacy Policy.

Archivio comunicati

Per anno

Naviga nelle nostre notizie per anno.

Per categoria

Naviga nelle nostre notizie per categoria.